У меня есть сторонний продукт (Jira), который имеет интеграцию с Active Directory через LDAP.
Я хочу разрешить администраторам Jira редактировать членство в группах и синхронизировать их внутри Active Directory.
В настоящее время это работает, но мне нужно было использовать учетную запись службы администратора домена, чтобы сделать это.
Вопрос в том, как я могу это сделать, не давая учетной записи службы все права администратора домена.
Ты можешь делегировать администрацию в свою учетную запись службы, чтобы позволить ей редактировать членство в группе, не давая ей полных прав администратора домена. Это можно сделать для одной группы, для всех групп в данном OU или для всех групп во всем домене,
http://www.windowsecurity.com/articles/Implementing-Active-Directory-Delegation-Administration.html